信息化觀察網(wǎng)

經(jīng)驗分享：

為了落實國家和教育部關于網(wǎng)絡信息安全保障的相關政策和要求，加強學校網(wǎng)絡信息安全工作的建設，提升學校網(wǎng)絡信息安全的檢測、預警和防護能力，針對學校數(shù)百個網(wǎng)站信息系統(tǒng)，數(shù)百臺托管服務器以及數(shù)據(jù)庫、專用和通用IT設備、安全專用設備開展全面的定期安全自查和運行維護、滲透測試、威脅情報分析和預警，同時開展網(wǎng)絡安全事件應急處置、安全值守；對學校的核心服務器提供專業(yè)的防病毒服務，為學校開展相關的網(wǎng)絡安全宣傳和培訓提供專業(yè)的組織、展示，最終通過建立的網(wǎng)絡安全保障體系，最大限度提升學校安全防護能力，保障校園網(wǎng)和業(yè)務系統(tǒng)安全穩(wěn)定運行，更好提升廣大師生的網(wǎng)絡安全意識，培養(yǎng)網(wǎng)絡安全習慣，滿足廣大師生安全用網(wǎng)的基礎需求。

成果展示：

在學校的網(wǎng)絡安全保障過程中，通過安全運維、安全威脅分析、安全預警及安全培訓值守有效的構筑了學校的網(wǎng)絡安全保障體系，同時結合近幾年公安部護網(wǎng)的實際要求和需求，針對護網(wǎng)制訂了行之有效的符合學校實際的護網(wǎng)保障方案，具體如下：

護網(wǎng)期間間，重點開展網(wǎng)站安全監(jiān)測及遠程安全值守工作，如發(fā)現(xiàn)安全事件及時進行事件的響應及分析；常態(tài)化開展日常安全巡檢、防病毒定期巡檢及維護以及安全威脅分析工作。

(一)安全威脅分析

·工作內(nèi)容：

通過對網(wǎng)內(nèi)關鍵節(jié)點的流量進行全面鏡像分析研判，對發(fā)現(xiàn)的外部攻擊行為（如漏洞利用、持續(xù)性攻擊等）及時反饋處理建議，精準發(fā)現(xiàn)內(nèi)部失陷主機（主機被非授權登錄，或被植入木馬后門等），快速并準確定位安全威脅所在，提供威脅相關的豐富的內(nèi)外部信息以供分析和響應。

·工作報告：

每日反饋發(fā)現(xiàn)的安全風險，每周提交《安全威脅分析周報》。

(二)防病毒定期安全巡檢及維護

·工作內(nèi)容：

防病毒安全巡檢主要工作內(nèi)容是對防病毒軟件控制中心的告警信息進行分析跟蹤。

防病毒控制中心安全檢查，主要檢查設備連通性、CPU使用率、內(nèi)存使用情況、磁盤使用情況、特征庫是否為最新和是否有高風險的告警，并對高風險告警信息進行分析排查，確認的攻擊行為要及時應對，進入應急響應流程；

·工作成果：

每日反饋發(fā)現(xiàn)的安全風險，每周提交《防病毒巡檢報告》。

(三)網(wǎng)站安全監(jiān)測

·配合準備工作：

提供護網(wǎng)期間對互聯(lián)網(wǎng)開放的需要監(jiān)控的網(wǎng)站列表

·工作內(nèi)容：

通過網(wǎng)站安全監(jiān)測平臺，對學校提供的網(wǎng)站進行7x24小時全面的安全監(jiān)測。網(wǎng)站監(jiān)控系統(tǒng)主要對網(wǎng)站的運行情況，服務中斷，內(nèi)容更改、掛馬病毒、敏感詞、應用漏洞、性能故障、入侵進程、輿情檢測等惡意行為進行實時監(jiān)控，當網(wǎng)站出現(xiàn)網(wǎng)站中斷，內(nèi)容更改、掛馬病毒、敏感詞、應用漏洞、性能故障、入侵進程、輿情檢測等異常狀況時，發(fā)現(xiàn)安全問題及時告警，由監(jiān)控人員對網(wǎng)站類安全事件進行處置和跟蹤，從而提升網(wǎng)站安全監(jiān)控系統(tǒng)對網(wǎng)站安全事件的可知、可控和可管理能力。

·工作交付：

發(fā)現(xiàn)網(wǎng)站安全風險及時反饋，每日反饋整體情況，最終提交《網(wǎng)站安全監(jiān)測報告》

(四)應急響應及重點保障

·準備工作：

1)發(fā)現(xiàn)安全事件后及時告知

2)建立應急處理通訊錄

·工作內(nèi)容：

安排安全服務人員進行7*24遠程值守，緊急情況及時預警，并且協(xié)助應對突發(fā)情況，進行應急處置，及時解決安全風險。

事件響應時間：

重大安全事件需在1小時內(nèi)響應，需要現(xiàn)場支持的時候2小時內(nèi)到現(xiàn)場，按要求提供技術支持和解決方案并協(xié)助處理。

普通安全事件4小時內(nèi)響應，按要求提供技術支持并協(xié)助處理。

通常信息系統(tǒng)可能發(fā)生的安全事件主要可以分為以下幾大類：

√拒絕服務：通過占用網(wǎng)絡/系統(tǒng)資源使計算機或網(wǎng)絡無法提供正常的服務。

√惡意代碼：病毒、蠕蟲、木馬等會給計算機帶來不良影響的代碼。

√未授權訪問：某人在沒有得到允許的情況下，獲得對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)，以及其它信息資源的訪問權限。

√攻擊篡改：黑客攻擊控制服務器權限或篡改頁面。

√上述幾種安全事件的結合。

安全事件主要可以分為以下三個級別：

√一般安全事件；

一般安全事件是指出現(xiàn)安全事件的特征，小范圍影響到網(wǎng)絡或業(yè)務系統(tǒng)性能，但是不影響骨干網(wǎng)絡和業(yè)務系統(tǒng)的正常可用。

√嚴重安全事件；

嚴重安全事件是指造成網(wǎng)絡骨干節(jié)點或者業(yè)務系統(tǒng)中斷30分鐘以上；

√重大安全事件。

重大安全事件是指造成網(wǎng)絡骨干節(jié)點或者業(yè)務系統(tǒng)中斷60分鐘以上。

當出現(xiàn)安全事件時，禹宏信安將提供應急響應技術支持服務，服務的方式如下：

一般安全事件：

支持人員：現(xiàn)場運維工程師、技術顧問；

響應方式：電話/VPN遠程/現(xiàn)場支持

響應時間：半小時內(nèi)電話/VPN遠程；4小時內(nèi)到現(xiàn)場，巡檢工程師現(xiàn)場支持，技術顧問遠程支持。

嚴重安全事件：

支持人員：現(xiàn)場運維工程師巡檢工程師、技術顧問、技術專家和資深顧問

響應方式：電話/VPN遠程/現(xiàn)場支持

響應時間：4小時內(nèi)到現(xiàn)場，技術顧問現(xiàn)場支持，技術專家和資深顧問提供遠程支持；

重大安全事件：

支持人員：現(xiàn)場運維工程師巡檢工程師、技術顧問、技術專家和資深顧問

響應方式：電話/VPN遠程/現(xiàn)場支持，相關部門資源；

響應時間：2小時內(nèi)到現(xiàn)場，技術顧問技術專家和資深顧問提供現(xiàn)場支持；項目經(jīng)理協(xié)調(diào)有關外部相關部門資源。

·工作成果：

《應急響應報告》（如發(fā)生安全事件）

《7*24小時遠程值班表》